Apple は、iPhone、iPad、および Mac をハッキングする攻撃で使用される新しいゼロデイ脆弱性に対処する緊急セキュリティ アップデートをリリースしました。
本日公開されたゼロデイ パッチは、CVE-2023-23529 [ 1、2 ] として追跡されており、OS のクラッシュを引き起こし、侵害されたデバイスでコードを実行するために悪用される可能性がある WebKit の混乱の問題です。
悪用に成功すると、攻撃者は悪意のある Web ページを開いた後、脆弱なバージョンの iOS、iPadOS、および macOS を実行しているデバイスで任意のコードを実行できます。
「悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります」と Apple はゼロデイについて説明した。
「Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。」
Apple は CVE-2023-23529 に対処し、iOS 16.3.1、iPadOS 16.3.1、および macOS Ventura 13.2.1 のチェックを改善しました。
バグは古いモデルと新しいモデルに影響を与えるため、影響を受けるデバイスの完全なリストは非常に広範囲であり、次のものが含まれます。
- iPhone 8以降
- iPad Pro (全モデル)、iPad Air 第 3 世代以降、iPad 第 5 世代以降、iPad mini 第 5 世代以降
- macOS Ventura を実行している Mac
本日、Apple は、Pangu Lab の Xinru Chi と Google Project Zero の Ned Williamson によって報告された、Mac および iPhone でカーネル権限を使用して任意のコードを実行できる脆弱性 (CVE-2023-23514) の後にカーネルを使用するパッチを適用しました。
今年、Apple がパッチを適用した最初のゼロデイ
同社は、実際の悪用レポートを認識していることを明らかにしましたが、これらの攻撃に関する情報はまだ公開していません.
この情報へのアクセスを制限することで、Apple は、より多くの攻撃者がゼロデイの詳細を入手して、脆弱な iPhone、iPad、および Mac を標的とする独自のカスタム エクスプロイトを開発および展開する前に、できるだけ多くのユーザーがデバイスを更新できるようにしたいと考えているようです。
このゼロデイ バグは、標的型攻撃でのみ使用された可能性がありますが、潜在的な攻撃の試みをブロックするために、今日の緊急更新プログラムをできるだけ早くインストールすることを強くお勧めします。
先月、Apple はまた、Google の脅威分析グループの Clément Lecigne によって発見された、リモートで悪用可能なゼロデイ脆弱性に対するセキュリティ パッチを古い iPhone および iPad にバックポートしました。
Comments